Noll
Dålig Kanin ransomware sprids med hjälp av en läckt NSA utnyttja utsatta av Skuggan Mäklare hacka gruppen, säkerhet forskare har bekräftat.
När ransomware första smittade organisationer i Ryssland och Ukraina på tisdag, det var först föreslog att det var med hjälp av EternalBlue — läckt utnyttja som bidragit till spridningen av WannaCry — men det var snabbt visar sig inte vara fallet.
Men forskare hos Cisco Talos har nu identifierat att Dåliga Kanin faktiskt använda en SMB sårbarhet sprids genom nätverk — känd som EternalRomance. Forskare vid andra bevakningsföretag inklusive Symantec och Kaspersky Lab har också bekräftat användning av EternalRomance.
Sårbarheten har också använts för att distribuera NotPetya i juni, även om forskarna notera att även denna version av EternalRomance är mycket liknande till allmänt tillgänglig Python genomförandet, det finns små skillnader.
För Dålig Kanin, EternalBlue genomförandet används för att skriva över en kärna session med tanke på säkerheten. Som gör det möjligt att starta remote services och försöka hitta andra närliggande system lyssna efter SMB-anslutningar och sedan sprida ransomware. Under tiden, EternalRomance användes av NotPetya att installera DoublePulsar bakdörr.
I båda fallen, de åtgärder som är möjliga på grund av hur EternalRomance gör det möjligt för angriparen att läsa och skriva godtyckliga data i kernel-minne utrymme att sprida ransomware.
Som en följd av likheter i koden och användning av SMB utnyttja, Cisco Talos forskare har “stort förtroende” att det finns en koppling mellan NotPetya och Dåliga Kanin och även tyder på att författarna av de två ransomware-varianter kan vara samma.
Dålig Kanin ransomware var uppkallad efter den Tor betalning sidan krävande bitcoin.
Bild: iStock
“Skatteflykt är närvarande i de ändringar i DoublePulsar bakdörr i Nyetya och EternalRomance i Bad Kanin visa liknande, avancerad nivå av förståelse av de utnyttjar inblandade, nätverket upptäckter på plats vid tiden för utbyggnaden, och allmänt Windows kernel exploatering,” sade Nick Biasini, hot forskare på Talos Uppsökande
Se även: Dålig Kanin: Tio saker du behöver veta om de senaste ransomware utbrott
Tillsammans med EternalBlue, EternalRomance sårbarhet var lappat av Microsoft tillbaka i Mars — vilket tyder på att de som smittats av denna ransomware utbrott var fortfarande återstår att installera den viktiga uppdateringen, trots effekterna av tidigare uppmärksammade incidenter.
Mer säkerhet nyheter
Hackare kan få tillgång till havs fartyget data via en inbyggd bakdörr
Slå på den nya anti-ransomware har under Hösten Skaparna Uppdatering
Kaspersky säger NSA hacking verktyg som erhålls efter skadliga program hittades
Dålig Kanin: Tio saker du behöver veta om de senaste ransomware utbrott
Namnet Bad Kanin efter Tor betalning sida för att samla in lösensummor, ransomware träffa mål, som bland annat ryska medier, Kievs tunnelbana och Odessas Internationella Flygplats i Ukraina.
Ett antal organisationer i Tyskland, Sydkorea och Polen har också rapporterat att de har blivit lurade, men det totala antalet infektioner var långt lägre än vad som ses med WannaCry och Petya, med mindre än 200 organisationer påverkas.
Det är inte klart hur många av dem som drabbas betalt, men offren är riktade till en Tor betalning sida som kräver en betalning av 0,05 bitcoin (runt $285) för att dekryptera filer. De hotade med att priset stiger om de inte betalar inom bara under 48 timmar, även om ett antal leverantörer säkerhet har nu sagt att den infrastruktur som används för att samla in betalningar är nu ner.
Dålig Kanin sprider sig via drive-by downloads på hackade webbplatser. Snarare än att vara som levererats av bedrifter, besökare till äventyras webbplatser-många av dem hade varit under kontroll av hackare för månader-fick höra att installera ett Flash-uppdateringen.
Denna skadliga hämta senare installerat ransomware till vad som verkade vara speciellt utvalda av målen, även om det är okänt vad det resonemanget bakom att välja offren var.
Vad som är uppenbart är hur man med hjälp av bedrifter som EternalRomance blir en allt vanligare metod för att sprida ransomware.
“Detta är snabbt på att bli det nya normala för hotbilden. Hot sprider sig snabbt, för en kort fönstret, för att orsaka maximal skada,” sade Biasini.
Relaterade täckning
Dålig Kanin: Tio saker du behöver veta om de senaste ransomware utbrott
Det är den tredje stora utbrott av året – här är vad vi vet hittills.
Dålig Kanin ransomware: En ny variant av Petya sprider sig, varnar forskare
Uppdaterad: Organisationer i Ryssland, Ukraina och andra länder har fallit offer för vad som är tänkt att vara en ny variant av ransomware.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Dålig Kanin ransomware attack biter Europa [MAG]WannaCry ransomware: Sjukhusen varnade för att lappa system för att skydda mot it-angrepp – men fick’tAfter WannaCry, ransomware kommer att bli värre innan det blir better6 tips för att undvika ransomware efter Petya och WannaCry [TechRepublic]Din underlåtenhet att tillämpa kritisk it-säkerhet uppdateringar är att sätta ditt företag i riskzonen från nästa WannaCry eller Petya
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0